Соглашение об обработке данных (AVV]
в соответствии со ст. 28, абз. 3 Общего регламента по защите данных (GDPR]
§ 1 Предмет и срок действия договора
(1] Настоящее соглашение регулирует права и обязанности сторон в связи с обработкой персональных данных обработчиком (обработчиком данных] по поручению клиента (контролера]. Оно применяется ко всем видам деятельности, при которых сотрудники обработчика или третьи лица, привлеченные им, могут контактировать с персональными данными контролера.
(2] Срок действия настоящего соглашения определяется сроком действия основного договора об использовании программного обеспечения "BusWay". Он автоматически прекращается с прекращением основного договора, если не существует установленных законом обязательств по хранению.
§ 2 Вид и цель обработки
(1] Обработчик заказов предоставляет контроллеру платформу Software-as-a-Service (SaaS]. Обработка включает сбор, хранение, оценку и предоставление данных для поддержки операционных процессов.
(2] Целью обработки является цифровая инструкция Route/Line, навигация водителей, управление информацией о маршрутах, а также техническое обеспечение работы программного обеспечения.
§ 3 Вид данных и круг заинтересованных лиц
(1] Категории заинтересованных лиц: сотрудники клиента (водители, диспетчеры, администраторы].
(2] Вид обрабатываемых персональных данных:
- Идентификационные данные (имя пользователя, адрес электронной почты, имя и фамилия].
- Данные о местоположении и перемещении (GPS-координаты во время активного использования приложения, история маршрутов].
- Метаданные устройства (IP-адрес, идентификатор устройства, версия операционной системы, версия приложения].
- Данные об использовании (временные метки входов в систему, созданные или пройденные маршруты, журналы синхронизации].
§ 4 Обязанности обработчика заказов
(1] Обработчик заказов обрабатывает персональные данные исключительно в рамках заключенных соглашений и в соответствии с инструкциями контроллера, если он не обязан осуществлять другую обработку в соответствии с законодательными положениями.
(2] Обработчик заказов гарантирует, что все лица, уполномоченные на обработку персональных данных, обязались соблюдать конфиденциальность или подпадают под действие соответствующей установленной законом обязанности соблюдать конфиденциальность.
(3] Обработчик заказов принимает все необходимые меры в соответствии со ст. 32 GDPR (Безопасность обработки] для обеспечения уровня защиты, соответствующего риску.
(4] Обработчик заказов оказывает контроллеру всемерную поддержку в соблюдении обязательств, указанных в ст. 32–36 GDPR (например, уведомление о нарушениях защиты персональных данных].
§ 5 Обязанности контроллера
(1] Контроллер несет исключительную ответственность за оценку допустимости обработки в соответствии со ст. 6 абз. 1 GDPR, а также за соблюдение прав заинтересованных лиц (например, информирование сотрудников об отслеживании GPS].
(2] Контроллер обычно дает свои инструкции посредством использования функций программного обеспечения (например, создание или удаление пользователей]. Устные инструкции должны быть немедленно подтверждены в письменной форме или в текстовой форме (электронная почта].
§ 6 Технические и организационные меры (TOM]
(1] Обработчик заказов принял соответствующие технические и организационные меры для защиты данных от несанкционированного доступа, потери или изменения.
- Конфиденциальность: Шифрование передачи данных (SSL/TLS], защита паролем (хеширование], контроль доступа.
- Целостность: Контроль ввода, протоколирование системных доступов, разделение данных клиента (логическое разделение].
- Доступность: Регулярное резервное копирование, избыточная серверная инфраструктура, планы действий в чрезвычайных ситуациях (восстановление после сбоев].
- Нагрузочная способность: Использование масштабируемой облачной инфраструктуры и регулярная проверка безопасности системы.
§ 7 Субподрядные отношения
(1] Контроллер дает обработчику заказов общее разрешение на привлечение других обработчиков заказов (субподрядчиков] для выполнения договорных обязательств.
(2] Обработчик заказов информирует контроллера о каждом предполагаемом изменении в отношении привлечения или замены других обработчиков заказов. Контроллер имеет право на возражение.
(3] В настоящее время используемые субподрядчики указаны в приложении к настоящему договору.
§ 8 Права контроля
(1] Контроллер имеет право проверять соблюдение законодательных положений и положений настоящего договора обработчиком заказов в разумных пределах. Поскольку это SaaS-решение, доказательство может быть в первую очередь предоставлено посредством сертификатов или заключений независимых третьих лиц.
§ 9 Удаление и возврат данных
(1] После завершения предоставления услуг по обработке обработчик заказов удаляет все персональные данные или возвращает их контроллеру, если не существует установленного законом обязательства по хранению.
§ 10 Заключительные положения
(1] Если отдельные части настоящего соглашения являются недействительными, это не влияет на действительность остальных положений.
(2] Применяется право Федеративной Республики Германия. Местом рассмотрения споров является местонахождение обработчика заказов.
Обработчик заказов использует следующих поставщиков услуг для выполнения своих услуг:
| Услуга | Поставщик услуг | Местоположение сервера |
|---|---|---|
| Хостинг, база данных и бэкенд | Strato AG | Берлин / Карлсруэ, Германия |
| Картографические данные и геокодирование | Google Cloud EMEA | Дублин, Ирландия (ЕС] |
| Реселлер / Торговец учетной записи | Paddle.com Market Ltd | Лондон, Великобритания (Решение об адекватности] |